Der seit dem 19. November 2025 vorliegende „Digitale Omnibus“ ist der nächste Schritt in einer Reihe von Initiativen, mit denen der EU-Gesetzgeber bereits bestehende Rechtsrahmen vereinfachen will. Im digitalen Bereich betrifft dies vor allem Datenschutz, Cyber- und Betriebsresilienz. Die Umsetzung des AI-Acts erhält einen eigenen Omnibus.
DSGVO-Feinjustierung mit offenen Fragen
Die EU-Kommission legt überraschend weite, als „technisch“ deklarierte Modifikationen der DSGVO vor. Diese betreffen hauptsächlich den Begriff personenbezogene Daten, die Rolle der Pseudonymisierung, präzisere Vorgaben für die Datennutzung zur Entwicklung und zum Betrieb von KI-Systemen sowie risikoorientierte Informations-, Auskunfts- und Meldepflichten.
Zudem ist eine Integration der bislang zersplitterten Cookie Regeln in die DSGVO vorgesehen. Die Vorschläge gehen in die richtige Richtung und bieten Potential für mehr Rechtssicherheit und Entlastung der Institute. Zugleich wird jedoch Nachschärfungsbedarf bei zentralen Kriterien – wie dem Personenbezug und der Handhabbarkeit der Pseudonymisierung - gesehen, da offene Formulierungen neue Auslegungsunsicherheit verursachen könnten.
Meldehub: Europa standardisiert das Formular, löst aber nicht das Problem
Beim geplanten neuen Meldehub zeigt sich deutlich, dass eine bloße Vereinheitlichung der letzten Stufe des Meldeprozesses über eine gemeinsame Meldemaske wirkungslos bleibt, wenn die zugrunde liegenden materiellen Anforderungen, wie unterschiedliche Definitionen, Schwellenwerte und Fristen (DORA, NIS2 oder CER) nicht zugleich harmonisiert und vereinfacht werden. Diese führen sonst weiterhin zu Inkonsistenzen, Doppelmeldungen und erhöhter operativer Last. Erforderlich ist daher eine echte fachliche und prozessuale Angleichung, nicht nur eine zusätzliche technische Oberfläche.
Omnibus zum AI-Act sorgt für gemischte Gefühle
Die Kommission hat mit einem eigenen Omnibus zum AI-Act erste Korrekturansätze vorgelegt. Unsere Analyse zeigt: Viele unserer Forderungen bleiben bislang dennoch unerfüllt. Weder wird die KI-Definition geschärft noch werden einfache, transparente Modelle wie lineare Regression klar ausgenommen. Auch die gewünschte Führungsrolle der Finanzaufsicht (EBA, EZB/SSM) bei der Implementierung des AI-Act findet sich bisher nicht in den Veröffentlichungen; stattdessen werden dem AI-Office der Kommission zahlreiche aufsichtliche Aufgaben zusätzlich zugeschrieben. Positiv sind – neben der besseren Verzahnung mit der DSGVO – längere gestaffelte Fristen auch für die Pflichten zur Hochrisiko-KI. Offen bleiben dagegen zentrale Fragen zur Rollenverteilung in AI-Act und zu Überschneidungen mit CRR/CRD, DORA und AML-Regeln, die durch ein gemeinsames Meldeportal nicht von allein verschwinden.
Unser Fazit: Der Zeitplan, bis August 2026 zu einer legislativen Einigung zu gelangen, ist ambitioniert. Viele Ansätze sind richtig, doch echte Entlastung erfordert deutlich mehr Mut von allen Beteiligten in den kommenden Verhandlungen.
Aufsicht & Regulierung
von
Daniel Gebhardt,
Astrid Freier